电子数据取证系统

浅谈大数据下的电子数据取证摘要；电子数据是指在计算机应用、通信、现代管理技术和其他电子技术手段的基础上形成的客观信息，包括文字、图形符号、数字、字母等。

随着计算机和网络技术的普及，基于网络的电子商务活动和许多其他人际关系大量涌现。

电子文件已成为传递信息和记录事实的重要载体。

在这些领域，一旦发生纠纷或事件，相关电子文件将成为重要证据。

收集电子数据证据。

这是一个法庭认可的过程，完全可靠、有说服力，并在法庭上确定、收集、保护、分析、存储和呈现计算机和相关外围设备中的电子数据。

因为计算机和网络技术在过去20年里发展迅速。

可以说，电子数据采集构成了一个新的科学和司法领域。

关键词；电子数据；电子取证；检察；取证方法前言大数据正在改变我们的生活和思维方式。

大数据的基本方法是数据挖掘，其主要价值在于预测。

在大数据时代，出现了新的电子证据收集方法，大数据挖掘技术也为电子证据的发现提供了新的思路。

在大数据时代，最需要的不仅仅是通过大数据处理技术努力使电子证据收集发挥更大的作用，更要关注大数据的基本价值对电子证据的影响，及时完善电子证据收集的权利和义务，建立当事人公平获取证据的制度。

1.大数据时代背景当你访问搜索网站时，有些搜索引擎公司会记录下搜索习惯，并根据这些信息自动为你推荐广告。

在电商网站购物时，一些电商公司会根据你的购物偏好，自动推荐相关产品；开车出发时，电子导航系统会自动定位并指示方向。

这些功能有助于计算机存储、分析和处理海量数据。

现在，大数据可以用来实现远程无法想象的梦想。

21世纪是数据信息大发展的时代，移动互联网、社交网络、电子商务等大大拓展了互联网的边界和应用范围。

同时，物联网、车联网、GPS、医学影像、安全监控、金融、电信都在疯狂地产生数据，各种数据迅速膨胀、壮大。

大数据引发了生活、工作和思维的变革。

2电子数据取证的概述2.1电子数据取证的涵义按照现行通用的学理上的分析，电子数据取证的含义可以表述为：“对能够为法庭接受的、足够可靠和有说服性的，存在于计算机和相关外设中的电子证据的确认、保存、提取和归档的过程，这一概念的表述将电子数据取证的范围不仅涵盖对计算机及配套设备的取证，也包括了对其他信息设备进行取证。

美亚柏科财务建模国内电子数据取证龙头今天我们要研究的这个赛道，之前曾因意外事件，备受打击。

自今年2月以来，其持续下杀，从峰值高位25.26元，一路跌至峰值低位17.53元，下跌幅度达到30%。

图：走势图来源：东方财富Choice数据然而，如果我们反观海外类似赛道的龙头，近日刚刚提交上市申请的独角兽Palantir，其主要为政商两界提供大数据分析软件。

在2015年，这家公司估值就已经达到200亿美元（折合人民币1368亿元）。

而本次上市，有部分媒体报道称其估值高达400亿美元（也有称260亿美元）。

而作为和Palantir类似赛道的国内龙头，本案如今的估值却仅为171亿元。

它，就是美亚柏科，国内电子数据取证龙头，几乎占据国内电子数据取证市场的半壁江山。

这个赛道下游多为to G，因而，我们将其归类为“新基建”系列研究中。

根据2019年数据，其营业收入为20.67亿元，同比增长29.11%；净利润为2.89亿元，同比下降4.3%；经营活动现金流为3.96亿元，毛利率为55.74%，净利率为13.96%。

从机构持仓上来看，2020年中报，本案的机构持仓者包括交银施罗德基金、泓德基金、高毅资本等。

研究到这里，有几个值得我们仔细思考的问题：1）电子数据取证行业的增长驱动力是什么？未来的前景如何？大数据智能化平台业务未来的发展空间究竟有多大？2）该行业的竞争格局怎样？护城河到底在哪里？—01 —███████龙头，模式▼美亚柏科，成立于1999年9月，2011年在深交所创业板挂牌上市。

大股东为郭永芳，国投智能持股15.58%，具有22.32%的表决权，为其控股股东，实际控制人为国资委。

图：股权结构来源：wind从2020年上半年机构持仓情况来看，交银施罗德基金、泓德基金、中欧基金等大型机构均有持仓。

2017年至2020年半年报，其营业收入分别为13.37亿元、16.01亿元、20.67亿元、6.12亿元；净利润分别为2.62亿元、3.02亿元、2.89亿元、-0.01亿元；经营活动现金流净额分别为2.00亿元、0.72亿元、3.96亿元、-4.59亿元；毛利率分别为64.18%、59.49%、55.74%、53.48%；净利率分别为19.62%、18.87%、13.96%、-0.15%。

1860 引言在大数据时代下，电子数据取证对象发生了巨大变化，从以往的独立物理实体拓展至IoT、虚拟主机以及云端应用等，这使得电子数据取证面临更大困难和挑战。

所以，有必要对以大数据架构为基础的电子数据取证技术展开深入研究。

在实际研究中，首先要充分掌握电子数据取证的内涵及发展历程，确定以大数据为基础的电子数据取证框架，了解新时期电子数据取证所面临的困境与挑战，在此基础上积极应用新技术支持电子数据取证工作，保证取证具有更高的安全性与准确性。

1 电子数据取证技术的概述电子数据取证主要指的是通过计算机软件以及硬件技术，在和法律规范相符的基础上，对网络相关犯罪行为包括网络攻击、计算机入侵、欺诈以及破坏等进行取证、分析、保存以及出示的过程[1]。

通过应用计算机实施犯罪的一些案件，往往犯罪嫌疑人会将计算机当中的犯罪证据毁灭，在此情况下，就可通过数据软件恢复所丢失或是删除的信息，而对所删除或者所丢失数据进行获取的全过程即为电子数据取证过程，涉及勘查现场、数据分析、数据追踪以及结果提交等方面。

而电子数据取证技术，主要是专业人员严格依据法律要求，根据法定程序，通过多种技术对电子设备当中涉及的电子证据进行取证，所用取证技术主要包含数字时间、数据库、密码破译、网络电子、移动终端以及浏览器等。

此外，取证期间可能还会用到一些计算机取证软件，像Encase、TCT 等。

只要是运用计算机实施的犯罪行为，势必会在互联网以及计算机当中留下一定痕迹，研究应用电子数据取证技术，主要目的就是对犯罪者在计算机当中所留下的痕迹信息进行精准辨别，同步加以提取，通过信息取证揭露犯罪者的犯罪事实。

电子数据取证产生于20世纪70年代，目前已经历了4个阶段，分别是1985年至1995年的婴儿期、1995年至2005年的儿童期、2005年至2010年的青春期以及2010年至今的新时期。

在婴儿期，新出现的网络和刚刚普及的个人电脑引发了一系列计算机犯罪，此阶段取证人员尚不具备系统化、专业化的取证工具，大部分是基于经验，利用自行开发的取证工具完成取证任务。

电子证据存在性取证流程总结一、针对案件及取证思路电子证据存在性取证主要针对的案件类型有：泄露国家机密案、组织他人偷越国边境案、传播淫秽物品案、伪造国家机关公文印章证件案等。

电子数据取证与鉴定的一般思路是经过资格认定的专业人员基于计算机科学原理和技术，接受当事人的委托，按照法律规定的程序，发现、固定、提取、分析、检验、记录和展示电子设备中存储的电子数据，找出与案件事实之间的客观联系，确定其证明力并提供鉴定意见。

主要可以分析各种日志历史、历史记录、缓存、缩略图、杀毒软件日志、文件结构特征、文件签名等。

二、电子证据存在性取证案例分析1案情概述：绑架杀人抛尸案后进行了录像，录像删除未恢复，且相机电池没电不能启动无数据线。

2取证准备：首先应当了解文件丢失原因，检查硬件有无损坏。

之后检查文件的存储格式、录制和存储文件所使用的文件系统、存储位置、创建和修改时间等。

对于该案件，由于案发到抓获时间较短，文件存储卡中有大量未使用的空闲空间，所以应该认定文件只是被删除而没有被覆盖（可能性较小）通过进一步分析FAT表发现文件分配表中只有当前尚未删除的照片和视频的数据分配，其余字节均为00.综合考虑没有被覆盖且硬件美欧损坏的情况下，要利用数据恢复软件进行数据恢复。

为了得到更加准确的数据还原结果，加之不同数据恢复软件各有特点，所以要要用easyrecovery/finaldata/r-stidio/winhex等不同软件分别操作分别恢复，再进行数据比对。

还原后发现了三个被删除的视频，但使用各种软件均无法正常播放，因此考虑手工恢复。

手工恢复顺序：文件签名、文件存储规律、文件结构特征。

3根据文件签名恢复：检索并匹配文件签名，发现了可能的视频文件头。

对选取到的文件数据块顺序提取后发现仍然不能播放。

4根据文件存储规律恢复：插入新卡，找到数据块所在位置，按规律拼接保存成为视频文件，检查分析文件是否正确。

由于不知道最后一个视频文件的结束位置，还要根据文件结构特征恢复文件。

浅谈建设网络IT取证系统【摘要】随着计算机网络技术的发展和运用，人们的生活效率提高的同时，利用信息技术进行犯罪的活动也日益增多，因此利用it取证技术提供有效可靠的电子证据给一些法律诉讼案件是非常必要的。

【关键词】网络；it取证；系统构建一、it取证技术概述it取证技术一般是指对计算机或者其他网络设备中存储的电子数据证据进行一系列的收集、识别、检查、保护和分析工作并最终在法律诉讼中进行出示的技术。

it取证技术是法律诉讼环节中的重要组成部分，法庭根据it取证技术采集到的电子证据进行犯罪后果的衡量并量刑定罪，这个过程不仅与计算机学科相联系，而且需要满足相关的法律要求，因此在取证过程中需要遵循一定的原则和标准来开展。

首先是合法性原则，即it取证工作的基本要求是符合法律规范，如此才能在证明相关犯罪活动时是有效的，这包括了专业人士见证过程和保护证据的连续性这两方面的合法性；其次是实时性原则，即在取证时要实时快速，这样才能保证有关的证据不会被修改或毁灭；接着是多备份原则，应该对证据进行两个或者以上的备份保存，以防止数据的流失；另外是环境原则，即对计算机相关证据的存储介质或者媒体进行安全标准的规范；最后是全面性原则，要求整个it过程中最好不要丢失任何有参考价值的信息，要尽可能多的收集比较全面的信息内容。

it取证技术的对象是电子数据，电子数据证据具有易损坏性、易改性、隐蔽性和存储方式多样性等特点，其在计算机内的存储方式分为易流失的证据和相对较稳定的证据，前者在计算机重新启动或者关机后可能不复存在，后者指临时文件、隐藏文件、普通文件、注册表文件等比较稳定的证据。

it取证工作必须按照规定好的流程进行，才能保证工作的高效性。

it取证工作第一步是对相关犯罪现场进行查看以进行证据的获取；第二步是数据的传输，传输过程要具有保密性，防止数据遭受非法入侵或获取；第三步是证据的保存，可以使用光盘、硬盘或磁带进行数据的备份；第四步是证据的识别，即从众多的数据中识别出可以反映犯罪行为和活动的电子数据；最后一步是数据的分析，即将收集到的数据、备份和程序通过现场重建手段分析它们之间的关联，最后提交给法庭作为诉讼的证据。

电子取证— 360浏览‎器历史记录‎数据恢复提‎取方法编者按：本期，数据恢复四‎川省重点实‎验室科研人‎员将介绍3‎60浏览器‎历史浏览记‎录数据恢复‎提取方法。

其中，针对XP系‎统下的二进‎制d at文‎件解析方法‎在市场上属‎于首创，可助力一线‎取证人员对‎360浏览‎器历史记录‎文件进行快‎速解析和提‎取，为电子取证‎和案件侦破‎提供关键线‎索。

一、背景介绍近年来,利用计算机‎进行网络犯‎罪呈高增长‎态势,浏览器历史‎痕迹成为计‎算机取证的‎重点。

由于某些浏‎览器保存记‎录方法是自‎己特定的格‎式，市面上很少‎有工具或者‎方法针对这‎种文件解析‎，所以这种浏‎览器历史痕‎迹被删除后‎，如果没有解‎析方法，整个痕迹提‎取环节就陷‎入僵局。

目前，市面上主要‎浏览器有微‎软I E、谷歌Chr‎o me、奇虎360‎浏览器、搜狗浏览器‎、百度浏览器‎等。

其中，360浏览‎器作为主流‎浏览器之一‎，占有较高市‎场份额，而它的浏览‎器保存记录‎方法就属于‎特定格式。

因此，研究360‎浏览器的历‎史痕迹提取‎方法并形成‎有效的电子‎证据，对计算机取‎证有重要意‎义。

图1：2015年‎8月浏览器‎市场占有率‎统计二、技术方案1.确定360‎浏览器历史‎痕迹文件位‎置360浏览‎器历史记录‎文件在不同‎操作系统中‎存储位置也‎不一样，根据目前分‎析结果，归纳如下：360痕迹‎文件在Wi‎n dows‎xp 系统下路径‎为：C:\Docum‎e nts and Setti‎n gs\用户名\Appli ‎c a tio‎n Data\360se‎\data\ histo‎r y.dat。

360痕迹‎文件在Wi‎n dows‎7/8 系统下路径‎为：C:\Users‎\用户名\AppDa‎t a\Roami‎ng\360se‎6\User Data\Defau‎l t\ Histo‎r y（如图2）。

图2：360痕迹‎文件在Wi‎n dows‎7 系统下路径‎2.分清360‎浏览器历史‎痕迹文件的‎类型360浏览‎器历史痕迹‎文件在不同‎操作系统下‎位置不一样‎，在不同操作‎系统中记录‎历史痕迹的‎文件类型也‎不一样。

电子数据取证知识点总结1. 电子数据取证的重要性随着科技的发展和监管的提高，电子数据在法律上的重要性日益增加。

电子数据取证能够帮助法庭和调查机构获取真实、可信的数字证据，并且可以帮助律师更好地了解案件的情况，帮助调查人员找到调查线索。

2. 电子数据取证的对象电子数据取证可以涉及到各种各样的电子设备和存储介质，例如计算机、服务器、手机、平板电脑、U盘、硬盘等等。

此外，还可以涉及到各种各样的文件格式，例如文档、电子邮件、照片、视频、音频等等。

3. 电子数据取证的流程电子数据取证通常包括以下几个步骤：第一步，确定取证范围和目标，明确需要取证的设备和介质，明确需要取证的时间段等等。

第二步，准备取证工具和设备，例如数据恢复软件、硬件取证设备、数据线等等。

第三步，进行实际的数据提取工作，根据取证的目标，使用相应的取证工具和设备提取数据。

第四步，对提取的数据进行处理和分析，例如解密加密文件、查找隐藏文件等等。

第五步，制作和提交取证报告，将取证结果整理好，保存为报告形式，并提交给相关的法庭或调查机构。

4. 电子数据取证的法律依据电子数据取证涉及到众多的法律和法规，例如《中华人民共和国刑事诉讼法》、《电子签名法》、《网络安全法》等等。

在进行取证工作的过程中，必须严格遵守相关的法律法规，否则可能会导致取证结果的无效。

5. 电子数据取证的技术挑战电子数据取证面临着诸多技术挑战，例如设备兼容性、数据恢复困难、加密文件的解密等等。

为了克服这些挑战，需要具备丰富的技术经验和严密的工作流程。

6. 电子数据取证的风险电子数据取证并非一项简单的工作，其中存在着很多潜在的风险。

例如数据的篡改、证据的丢失、取证程序的不合规等等。

为了规避这些风险，必须严格遵守规定的取证流程和标准。

7. 电子数据取证的未来发展随着科技的不断进步，电子数据取证将会变得更加智能化、自动化，例如量子计算、人工智能等技术的应用将会极大地改变取证的方式和方法。

总之，电子数据取证是一项极其重要的工作，在日常生活和工作中都会涉及到。